CVE-2024-31497: Critical PuTTY Vulnerability Exposes Private Keys – Immediate Action Required
2024/04/15 SecurityOnline — 一般的な SSH クライアントである、PuTTY バージョン 0.68〜0.80 に存在する、深刻な脆弱性 CVE-2024-31497 が発見された。この脆弱性は、FileZilla/WinSCP/TortoiseGit/TortoiseSVN などの、広範なソフトウェアに影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、NIST P-521 曲線を用いた ECDSA アルゴリズムで使用される秘密鍵を大幅に弱体化させ、容易に復元できる状態にするという。この欠陥は、Ruhr 大学 Bochum.の、セキュリティ研究者である Fabian Bäumer と Marcus Brinkmann により発見された。
Continue reading “PuTTY の深刻な脆弱性 CVE-2024-31497 が FIX:秘密鍵の大幅に弱体化”GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository
2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
Continue reading “GitHub の RSA SSH シークレット・キー:パブリック・リポジトリに誤って公開される”Researcher Releases PoC for Recent Java Cryptographic Vulnerability
2022/04/22 TheHackerNews — Java 環境における、デジタル署名バイパスの脆弱性を証明する、PoC エクスプロイト・コードがオンラインで共有されている。この脆弱性 CVE-2022-21449 (CVSS : 7.5) は、Oracle Java SE および Oracle GraalVM Enterprise Edition の、以下のバージョンに影響を及ぼす。
Continue reading “Oracle Java の PoC エクスプロイト:優先すべき ECDSA 脆弱性へのパッチ適用とは?”
IoT OT Security News 